孫小華 江慧 戴百克 袁淑娟

摘 要：文章提出一種移動(dòng)應(yīng)用身份驗(yàn)證系統(tǒng)設(shè)計(jì)方法，通過發(fā)起一個(gè)未接通電話呼叫的方式來驗(yàn)證用戶提交的注冊(cè)申請(qǐng)中的身份信息是否真實(shí)有效。此方法可以為移動(dòng)應(yīng)用運(yùn)營(yíng)商省去通過發(fā)送短信驗(yàn)證碼進(jìn)行手機(jī)號(hào)碼驗(yàn)證所需費(fèi)用，而且免除用戶填入收到的短信驗(yàn)證碼這一步驟，提高用戶的使用體驗(yàn)。為防止消息傳送過程中產(chǎn)生泄密，手機(jī)客戶端與移動(dòng)身份驗(yàn)證平臺(tái)之間傳輸?shù)南⒉捎霉：瘮?shù)進(jìn)行加密。

關(guān)鍵詞：移動(dòng)應(yīng)用；身份驗(yàn)證；哈希函數(shù)

近年來，隨著“互聯(lián)網(wǎng)+”戰(zhàn)略的實(shí)施和發(fā)展，我國移動(dòng)應(yīng)用市場(chǎng)應(yīng)用數(shù)量呈現(xiàn)爆發(fā)性增長(zhǎng)。根據(jù)工信部發(fā)布的2017年上半年我國互聯(lián)網(wǎng)業(yè)務(wù)運(yùn)行情況報(bào)告，國內(nèi)移動(dòng)應(yīng)用程序市場(chǎng)持續(xù)活躍且移動(dòng)互聯(lián)網(wǎng)應(yīng)用數(shù)量己超402萬款，且數(shù)量還在不斷快速增長(zhǎng)。

2016年6月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》，要求移動(dòng)應(yīng)用程序按照“后臺(tái)實(shí)名、前臺(tái)自愿”的原則，對(duì)注冊(cè)用戶進(jìn)行基于移動(dòng)電話號(hào)碼等真實(shí)身份信息認(rèn)證[1]。目前，用戶在使用大多數(shù)移動(dòng)應(yīng)用時(shí)都需要進(jìn)行注冊(cè)，注冊(cè)流程基本上是用戶輸入手機(jī)號(hào)碼，然后輸入應(yīng)用后臺(tái)發(fā)送的短信驗(yàn)證碼進(jìn)行驗(yàn)證。在這個(gè)注冊(cè)流程中，移動(dòng)應(yīng)用運(yùn)營(yíng)商需要花費(fèi)約3-8分錢的成本發(fā)送一條驗(yàn)證碼短信到用戶手機(jī)號(hào)碼，用戶收到驗(yàn)證碼短信之后還需要手動(dòng)輸入到注冊(cè)界面上。

本文擬提出一種新的移動(dòng)應(yīng)用身份驗(yàn)證方式，應(yīng)用先嘗試自動(dòng)獲取本機(jī)手機(jī)號(hào)碼，如不能獲取成功，提示用戶手動(dòng)輸入本機(jī)手機(jī)號(hào)碼后，驗(yàn)證系統(tǒng)通過呼叫能力開放接口廠家提供的呼叫接口向此手機(jī)號(hào)碼發(fā)起一個(gè)呼叫，在用戶接通這個(gè)呼叫之前中斷接續(xù)過程，通過手機(jī)產(chǎn)生的未接來電信息對(duì)用戶的身份進(jìn)行驗(yàn)證。通過這種身份驗(yàn)證方式，移動(dòng)應(yīng)用運(yùn)營(yíng)商節(jié)省了短信發(fā)送費(fèi)用，同時(shí)，用戶不需手動(dòng)輸入驗(yàn)證碼，從而提高了用戶的體驗(yàn)。

1 相關(guān)研究現(xiàn)狀

目前，移動(dòng)應(yīng)用的實(shí)名認(rèn)證流程基本上是用戶輸入手機(jī)號(hào)碼，然后點(diǎn)擊“發(fā)送驗(yàn)證碼”，移動(dòng)應(yīng)用后臺(tái)通過發(fā)送短信驗(yàn)證碼到用戶輸入的手機(jī)號(hào)碼上，用戶再輸入收到的短信驗(yàn)證碼，最后點(diǎn)擊“注冊(cè)”按鈕。在這個(gè)注冊(cè)流程中，移動(dòng)應(yīng)用運(yùn)營(yíng)商需要花費(fèi)成本發(fā)送一條驗(yàn)證碼短信到用戶手機(jī)號(hào)碼，用戶收到驗(yàn)證碼短信之后還需要手動(dòng)輸入或者復(fù)制到注冊(cè)界面上。如果注冊(cè)用戶數(shù)目龐大的話，運(yùn)營(yíng)商的短信費(fèi)用開支會(huì)很大，而且驗(yàn)證過程需要用戶手動(dòng)輸入驗(yàn)證碼，用戶體驗(yàn)不友好{2]。

有些移動(dòng)應(yīng)用注冊(cè)時(shí)通過驗(yàn)證用戶輸入的郵箱地址來對(duì)用戶進(jìn)行身份驗(yàn)證，雖然不需要短信通信費(fèi)用，但這種方式做不到真正的實(shí)名。在注冊(cè)一些涉及交易過程的移動(dòng)應(yīng)用APP，如支付寶、手機(jī)銀行等時(shí)，用戶還需要通過輸入用戶的身份證號(hào)碼或?qū)⑸矸葑C件掃描上傳等方式，由后臺(tái)人員人工審核注冊(cè)信息，這種方式需要用戶做繁瑣的操作，系統(tǒng)后臺(tái)的人工工作量也很大，不適用于一般的移動(dòng)應(yīng)用APP。此外，隨著人工智能技術(shù)的發(fā)展，人臉識(shí)別、指紋識(shí)別等在用戶驗(yàn)證過程中應(yīng)用已經(jīng)比較廣泛，但這種方式還是需要通過手機(jī)號(hào)碼的驗(yàn)證來進(jìn)行補(bǔ)充才能做到實(shí)名。由于國家已經(jīng)強(qiáng)制要求運(yùn)營(yíng)商對(duì)移動(dòng)手機(jī)號(hào)碼的用戶進(jìn)行實(shí)名登記，所以移動(dòng)應(yīng)用身份驗(yàn)證的最基本方法還是通過用戶的手機(jī)號(hào)碼來驗(yàn)證{3}。

2 移動(dòng)應(yīng)用身份驗(yàn)證系統(tǒng)工作流程

本文擬提出一種新的移動(dòng)應(yīng)用身份驗(yàn)證方式，通過發(fā)起、監(jiān)聽和處理手機(jī)未接來電的方式，將用戶注冊(cè)過程中的短信認(rèn)證方式改為通過未接電話信息認(rèn)證的方式，提升注冊(cè)過程中身份驗(yàn)汪的用戶體驗(yàn)。

此身份驗(yàn)證系統(tǒng)工作流程如圖1所示。用戶在輸入本機(jī)手機(jī)號(hào)碼后，直接點(diǎn)擊“注冊(cè)”按鈕，通過消息交互后由移動(dòng)應(yīng)用APP調(diào)用移動(dòng)應(yīng)用身份驗(yàn)證系統(tǒng)接口，本移動(dòng)應(yīng)用身份驗(yàn)證系統(tǒng)將調(diào)用呼叫能力開放接口廠家提供的呼叫接口向用戶輸入的手機(jī)號(hào)碼發(fā)起通話呼叫，在接續(xù)流程完成后立即中斷呼叫，用戶的手機(jī)號(hào)碼將產(chǎn)生一條未接來電信息，身份驗(yàn)證系統(tǒng)對(duì)未接來電進(jìn)行監(jiān)聽，如果監(jiān)聽到未接來電，判斷未接來電的呼叫方信息是否與身份驗(yàn)證系統(tǒng)發(fā)起呼叫方信息一致，如果一致則認(rèn)為是身份驗(yàn)證成功，將驗(yàn)證成功信息返回給第三方應(yīng)用軟件，并將該呼叫信息設(shè)為己接電話；否則忽略該條未接來電信息；如果在預(yù)先設(shè)定的時(shí)間內(nèi)沒有收到正確的未接來電呼叫信息，則認(rèn)為身份驗(yàn)證失敗，將驗(yàn)證失敗信息返回給第三方應(yīng)用軟件。其中，調(diào)用呼叫能力開放接口可選用中國電信協(xié)同通信開放平臺(tái)，該協(xié)同通信開放平臺(tái)是一個(gè)支持富通信模式的創(chuàng)新通信平臺(tái)，該平臺(tái)可以提供多種呼叫控制服務(wù)，并對(duì)外提供開放接口[4]。

3 用戶注冊(cè)消息流程

用戶注冊(cè)過程中消息流程如圖2所示

（1）用戶申請(qǐng)注冊(cè)時(shí)，移動(dòng)應(yīng)用APP將發(fā)送第一次注冊(cè)請(qǐng)求消息至移動(dòng)身份驗(yàn)汪平臺(tái)，消息中含有授權(quán)的移動(dòng)應(yīng)用標(biāo)識(shí)。

（2）移動(dòng)身份驗(yàn)證平臺(tái)對(duì)消息中的移動(dòng)應(yīng)用標(biāo)識(shí)進(jìn)行驗(yàn)汪，以防非法應(yīng)用軟件接入進(jìn)來。如果移動(dòng)應(yīng)用標(biāo)識(shí)驗(yàn)證成功，則在第一次注冊(cè)響應(yīng)消息中要求移動(dòng)客戶端將手機(jī)號(hào)碼、IMSI碼（可選）、用戶名、用戶密碼等用戶信息及時(shí)間戳傳送至身份驗(yàn)證平臺(tái)；如果移動(dòng)應(yīng)用標(biāo)識(shí)驗(yàn)證失敗，則返回注冊(cè)失敗消息，注冊(cè)過程結(jié)束。其中IMSI （InternationalMobile Subscriber Identification Number）碼為國際移動(dòng)用戶識(shí)別碼，是區(qū)別移動(dòng)用戶的標(biāo)志，儲(chǔ)存在SIM卡中，可用于區(qū)別移動(dòng)用戶的有效信息。其總長(zhǎng)度不超過15位，使用0-947之間的數(shù)字。

（3）移動(dòng)應(yīng)用APP向移動(dòng)身份驗(yàn)證平臺(tái)發(fā)送第二次注冊(cè)請(qǐng)求消息，請(qǐng)求消息中含有通過手機(jī)系統(tǒng)調(diào)用獲取到的IMSI、當(dāng)前時(shí)間及用戶輸入的用戶名、密碼等信息。

（4）移動(dòng)身份驗(yàn)證平臺(tái)驗(yàn)證請(qǐng)求消息是否合法，如果合法，則返回成功消息，移動(dòng)應(yīng)用APP接收到此成功消息后將啟動(dòng)定時(shí)器，準(zhǔn)備接收呼叫能力平臺(tái)發(fā)起的呼叫，同時(shí)提示用戶將會(huì)接收到一個(gè)主叫號(hào)碼為某個(gè)指定號(hào)碼的來電，并且不要去接聽此來電；如果APP的請(qǐng)求消息非法，平臺(tái)將返回消息非法響應(yīng)消息，注冊(cè)過程失敗并終止。

（5）身份驗(yàn)證平臺(tái)將向呼叫能力平臺(tái)發(fā)起呼叫請(qǐng)求，請(qǐng)求消息中將攜帶用戶的手機(jī)號(hào)碼，呼叫能力平臺(tái)接收到此消息后將向該手機(jī)發(fā)起呼叫，呼叫接續(xù)完成后將振鈴3秒。

（6）在定時(shí)器定時(shí)時(shí)間范圍內(nèi)，移動(dòng)應(yīng)用APP將監(jiān)聽接收到的未接來電信息，如果此來電信息中的主叫號(hào)碼是指定的號(hào)碼，則認(rèn)為用戶注冊(cè)成功，向移動(dòng)身份驗(yàn)證平臺(tái)發(fā)送注冊(cè)確認(rèn)消息，平臺(tái)收到確認(rèn)消息后將用戶的摘要信息保存在數(shù)據(jù)庫中；否則，認(rèn)為用戶注冊(cè)失敗。為突破360手機(jī)安全衛(wèi)士等手機(jī)安全軟件對(duì)騷擾信息的攔截，移動(dòng)應(yīng)用APP通過調(diào)用手機(jī)底層接口來獲取手機(jī)未接來電信息。同時(shí)，為了實(shí)現(xiàn)使用戶不需感知接收到了未接來電即可實(shí)現(xiàn)身份驗(yàn)證目的，移動(dòng)應(yīng)用APP將直接操作手機(jī)內(nèi)部數(shù)據(jù)庫，對(duì)身份驗(yàn)證系統(tǒng)發(fā)起的手機(jī)未接來電信息進(jìn)行處理，將其信息設(shè)為己接來電[5]，

為防止消息傳送過程中產(chǎn)生泄密，手機(jī)客戶端與移動(dòng)身份驗(yàn)證平臺(tái)之間傳輸?shù)南⒉捎霉：瘮?shù)進(jìn)行加密。哈希函數(shù)可以將任意長(zhǎng)度的輸入經(jīng)過變化后得到固定長(zhǎng)度的輸出，這個(gè)固定長(zhǎng)度的輸出就是原消息的散列值。采用哈希函數(shù)可以進(jìn)行明文到密文的不可逆映射，由于只對(duì)保存消息的哈希值進(jìn)行保存，進(jìn)行消息校驗(yàn)的時(shí)候僅需比對(duì)哈希值即可，即使攻擊者獲取了消息的哈希值，也無法獲取用戶的密碼信息。由于此過程是單向不可逆的，只有加密過程沒有解密過程，保證了消息傳送的安全。Hash函數(shù)將采用MD5加密算法來實(shí)現(xiàn)。如果用戶注冊(cè)成功，則驗(yàn)證系統(tǒng)將用戶名和密碼組合通過MD5算法生成的摘要保存在系統(tǒng)數(shù)據(jù)庫中。之后在用戶的登錄過程中，系統(tǒng)將登錄消息中的用戶名和密碼組合通過MD5算法計(jì)算生成的摘要與系統(tǒng)數(shù)據(jù)庫中的摘要進(jìn)行匹配，如果匹配成功，則返回登錄成功消息，否則，系統(tǒng)將返回登錄失敗消息[6]。

4結(jié)語

本文提出一種移動(dòng)應(yīng)用身份驗(yàn)證系統(tǒng)，將用戶注冊(cè)過程中通過短信驗(yàn)證碼的方式來驗(yàn)證手機(jī)號(hào)碼是否正確改為通過未接電話信息認(rèn)證的方式，節(jié)省了移動(dòng)應(yīng)用軟件運(yùn)營(yíng)商的短信發(fā)送費(fèi)用。同時(shí)，在身份驗(yàn)證過程中，用戶無需手動(dòng)輸入短信驗(yàn)證碼，系統(tǒng)直接對(duì)接收到的未接來電信息進(jìn)行處理，用戶無需對(duì)未接來電進(jìn)行手動(dòng)處理，提升了用戶的體驗(yàn)。為防止身份驗(yàn)證過程中用戶信息的泄露，采用Hash函數(shù)對(duì)相關(guān)信息進(jìn)行加密，根據(jù)移動(dòng)應(yīng)用APP的需要，在做身份驗(yàn)證時(shí)可以綁定用戶移動(dòng)電話卡的IMSI碼，并對(duì)移動(dòng)應(yīng)用標(biāo)識(shí)進(jìn)行驗(yàn)證，以防非法應(yīng)用軟件接入進(jìn)來，提高了系統(tǒng)的安全性。

[參考文獻(xiàn)]

[1]王亞偉，彭長(zhǎng)根，丁紅發(fā)，等.基于標(biāo)識(shí)符的Android客戶端身份認(rèn)證方案[J].網(wǎng)絡(luò)與信息安全學(xué)報(bào)，2017 （4）：32-38

[2]甘宏，潘丹.基于動(dòng)態(tài)身份遠(yuǎn)程用戶認(rèn)證方案的研究[J].數(shù)字通信，2014 （5）：1-5

[3]胡衛(wèi)，張煥國，魏國珩，等.面向移動(dòng)平臺(tái)的新型身份認(rèn)證方案設(shè)計(jì)[J]計(jì)算機(jī)科學(xué)，2014 （4）：99-102

[4]嚴(yán)峰，劉明，全喜偉.基于移動(dòng)互聯(lián)網(wǎng)用戶實(shí)名認(rèn)證技術(shù)應(yīng)用研究[J]中國公共安全（學(xué)術(shù)版），2017 （1）：89-92.

[5]江超，龍毅宏.基于移動(dòng)終端的系統(tǒng)登錄方法的研究與開發(fā)[J]軟件，2017 （3）：12-15

[6]佚名.中國電信協(xié)同通信開放平臺(tái)[EB/OL]（ 2017-08-10）[2017-11-17].http： //open.ecplive.cn/